Primeiro, concordo que é uma má ideia espalhar certificados curinga. A melhor prática é usar certificados separados (quando os domínios residem em diferentes servidores ou hosts virtuais) ou certificados SAN (quando todos eles residem no mesmo local).
No entanto, você não poderá usar seu certificado existente para assinar o certificado de um subdomínio. Certificados SSL são normalmente emitidos com uma restrição sobre como eles podem ser usados. Se você executar openssl x509 -in /path/to/cert.pem -noout -text , verá uma parte parecida com
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Isso significa que o certificado só pode ser usado para autenticar um servidor ou cliente da web. Não pode ser usado para assinar outros certificados (ou, pelo menos, nenhum cliente confiará em um certificado assinado por este).
O motivo pelo qual você não pode fazer isso é que atualmente não há como uma autoridade de certificação emitir um certificado que possa ser usado para assinar outros certificados somente em um determinado domínio. Portanto, se uma CA confiável fornecesse a você um certificado que você poderia usar para assinar outros certificados, eles, na prática, davam a você a capacidade de representar qualquer outro site na Internet. Isso seria ruim e é por isso que eles não fazem isso.